1. 在已安装 Microsoft Entra Connect的服务器中,手动导航到C:\Program Files\Microsoft Azure Active Directory Connect文件夹,并在该文件夹路径下启动 PowerShell命令行。

2. 在已启动的PowerShell命令行中,通过执行“New-AzureADSSOAuthenticationContext”命令来接到 Azure AD 租户,并获取无缝 SSO 的当前状态信息,在其弹出的窗口中,输入Microsoft Entra ID租户的全局管理员凭证。

3.随后在当前的PowerShell命令行中,执行“Get-AzureADSSOStatus | ConvertFrom-Json”命令来获取已启用无缝单一登录(Seamless Single Sign-On, SSO)的 Active Directory 林列表。其中Get-AzureADSSOStatus命令参数通常会获取 Microsoft Entra Connect为本地 Active Directory 实现的无缝 SSO 功能的状态信息,通常会返回一个包含 JSON 格式数据的字符串(其中包含了Seamless SSO 是否启用、与之关联的域控制器以及当前状态等详细信息),ConvertFrom-Json命令参数会将上述返回的JSON 格式数据的字符串转换为 PowerShell 对象(PSCustomObject),执行结果如下图所示,我们可以看到目前无缝 SSO 功能处于已启用状态。

4.通过执行$creds = Get-Credential命令来将目标 AD 林的域管理员凭据定义到$creds变量中,如下图所示,需要以SAM 帐户名称格式(例如:dang.xx.xx\administrator) 输入将要更新Kerberos 解密密钥的目标 AD 林的域管理员凭据。

5.最后执行“Update-AzureADSSOForest -OnPremCredentials $creds”命令,来在我们所指定的AD林中更新与Microsoft Entra ID 无缝单点登录相关的AZUREADSSO计算机帐户的Kerberos解密密钥,并将这些更改已同步至Microsoft Entra ID 服务中,如下图所示,我们已在设置 Kerberos 解密密钥的每个 AD 林上滚动更新“AZUREADSSO”计算机帐户的 Kerberos 解密密钥。